Analizzato da: Jasen Sumalapao   
 

Rogue:Win32/Winwebsec (Microsoft) Trojan.FakeAV (Norton)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.

Muestra una ventana en la que el usuario puede comprar este programa antivirus falso.

  Dettagli tecnici

Dimensione file: 426,496 bytes
Tipo di file: EXE
Data di ricezione campioni iniziali: 12 luglio 2012

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

  • %User Profile%\Application Data\{random characters}\{random characters}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • %Desktop%\Live Security Platinum.lnk
  • %Start Menu%\Programs\Live Security Platinum.lnk
  • %Start Menu%\Programs\Live Security Platinum\Live Security Platinum.lnk

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

)

Finaliza la ejecución de la copia que ejecutó inicialmente y ejecuta en su lugar la copia que ha creado.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
{random characters} = %User Profile%\Application Data\{random characters}\{random characters}.exe

Rutina de descarga

Se conecta a las siguientes URL maliciosas:

  • http://{BLOCKED}.{BLOCKED}.178.189/api/urls/?ts=8d7f73b5&affid=41100

Rutina de antivirus falso

Se muestra al usuario la siguiente ventana para que compre el programa antivirus falso:

  • Live Security Platinum